HEF防火墙实现模式的研究

HEF防火墙实现模式的研究

张旭[1]2002年在《HEF防火墙实现模式的研究》文中指出作为实现网络和信息安全的重要保障,防火墙在为内部网络带来安全的同时,也产生了一定的副作用--降低网络运行效率。人们在享受网络资源时,既要求较高的网络安全系数,又要求较快的网络传输速度。为适应这一需求,防火墙在满足网络安全性能的同时,解决传输速率瓶颈,实现安全、效率双突破。本论文综合分析国内外防火墙技术基础之上,以提高效率为目的,针对传统防火墙技术中存在的不足,从叁个方面探讨了提高防火墙效率的方法。《HEF(High Efficient Firewall)防火墙实现模式研究》的主要内容有:(1) 通过Transproxy仿真实验及IPv6/TunnelBroker模型建立,着重阐述Transproxy方法、改进的RFC3053的结构,以及代理技术中有关效率的解决方案,使之适用于不同规模的ISP的需要;(2) 在分析IPSec协议安全性问题基础上,针对ISAKMPSA协商中的变换载荷攻击做出改进,并进行形式化分析、论证,最终设计出基于IP/IPSec概念的VPN高效安全模型:(3) 基于IDS系统的动态特性,为弥补防火墙静态防御的不足,设计出两者联动的方法,探索了高效网络安全体系模式研究的新方向;(4) HEF防火墙实现模式的理论研究及仿真实验,所得叁部分研究结论均可设计出module,内嵌入防火墙系统中,为国内防火墙产品的设计提供了一定的理论基础。

方山[2]2003年在《网络防火墙状态检测技术的研究与实现》文中研究表明本论文是研究如何在Linux内核中实现状态检测技术。围绕这一目的,作者首先对Linux内核做了较为深入的研究,通过模块编程动态的修改了操作系统的网络流程,屏蔽了系统所有网络操作,消除了操作系统的“协议栈指纹”效应,从根本上解决了防范黑客对防火墙的攻击问题;同时通过摸索掌握了Linux内核定时器的使用,解决了在Linux内核空间构建防火墙所遇到的数据包截获和定时器这两个最基本的技术问题。 在对Internet体系结构有了详尽认识的基础上,研读了大量相关RFC文档,实现了ARP协议,并进一步通过ARP代理技术实现了防火墙的透明模式,使防火墙在接入到网络中时无需对网络的设置做任何改动;改进了IP碎片重组算法,实现了校验和算法,并对校验和算法的高效性做了深入的研究;构建了以转发为目的的防火墙专用IP协议栈,取代了系统自带的通用协议栈,大大的提高了效率和安全性。通过对各类报文的深入分析和大量的编程工作实现了NAT功能,并在此基础上实现了状态检测技术。

朱俊达[3]2006年在《基于IXP425网络处理器的接入路由器》文中研究指明网络处理器因其性能和灵活性并重的特点在网络的各个领域得到了广泛应用。IXP425是Intel公司针对中小企业和家庭用户的应用需求推出的中低端网络处理器,尤其适合于网络接入路由器等边缘网络设备的开发。 本文的内容,就是实现基于Intel IXP425网络处理器的接入路由器,具体而言应当具有以下功能: 1.ADSL或小区LAN(或两种方式兼具)的宽带接入方式: 2.IEEE802.3/IEEE802.11的有线/无线局域网接入方式; 3.内部有线/无线局域网的透明桥接; 4.局域网与广域网之间的路由; 5.以网络端口地址转换方式(NAPT,RFC3022)提供单个合法IP的共享接入; 6.分组的软件快速交换; 本设计以Intel IXP425网络处理器作为功能核心,采用了核心板+扩展板的硬件方案。由处理器、电源、存储器电路等构成的通用核心板,实现了基于IXP425的最小功能系统。同时为了满足网络接入路由器的实际应用需求,设计了扩展板与通用核心板相配合。在系统硬件顺利实现的基础上,定制了U-Boot作为启动引导程序,Snapgear作为操作系统平台,为上层的软件实现提供了稳定可靠的支持。根据网络接入路由器的应用需求,实现了AP模式的无线网络接口软件,提供了对IEEE802.11无线局域网接入方式的支持;针对Linux IP转发机制的弱点和不足,将基于FASTPATH框架的快速软件分组交换/路由机制应用于本设计;充分利用IXP425的以太网NPE资源,调用Intel Access Library提供的API库,实现了无线/有线局域网之间的透明桥接和源MAC地址防火墙;针对合法公网IP共享的问题,提出了基于网络端口地址转换(NAPT)的IP共享机制,并以Linux内核模块的形式予以实现。最后对软硬件的协同调试和功能验证进行了介绍。

邢燚[4]2008年在《基于IXP425网络处理器的无线接入路由器》文中指出随着计算机网络的高速发展,传统的通用处理器和ASIC由于各自的缺点已经不能满足发展的需要,网络处理器凭借其性能和灵活性并重的特点在网络设备开发中得到了广泛应用。IXP425是Intel公司面向中小企业和SOHO用户开发的一款高度集成的单芯片处理器,尤其适用于接入路由器、防火墙的开发。本文的内容,就是在自主研发的EITS425开发平台上,根据应用需求合理选取硬件模块,定制uCLinux操作系统,并配之以相应的应用软件,实现一个基于IXP425网络处理器的无线接入路由器。归纳起来本课题的主要工作如下:◆从硬件方面详细描述了EITS425开发板的设计思路,介绍了在EITS425开发平台上构建无线接入路由器的方法,并分析了各个模块电路的具体电路实现。◆主机开发环境的建立,Bootloader和uCLinux操作系统的定制。本课题采用了U-Boot作为开发板的Bootloader,Snapgear Linux作为操作系统平台。◆完成了硬件设备驱动的开发,包括:IXP425网络处理器NPE驱动的开发,无线接入点的驱动开发以及无线/有线透明网桥的开发。至此,完成底层软件的开发,交给用户和开发人员一个完整、稳定的平台,可以直接在该平台上进行路由器应用软件的开发。◆实现了基于FASTPATH构架的快速软件分组交换/路由机制,提高包转发性能;基于NAT的服务,实现局域网合法享用同一公网IP接入广域网;DHCP服务器和客户端的开发,实现网络参数自动配置;建立PPPOE服务,实现ADSL广域网接入。◆进行了无线接入路由器的功能验证。本论文的设计成果,既可作为产品直接投放市场,也可在其基础上进行二次开发,实现一些更新、更流行的网络设备功能。

陈兵[5]2013年在《银行网络视角下的系统性风险传染研究》文中研究说明现代金融系统因各种连接相互高度依赖而形成了复杂的金融网络,金融机构的相互连接可能导致冲击在金融网络中进行传染形成系统性风险,次贷危机正是典型例子。近十余年,网络科学发展迅速,并逐步应用于金融传染的研究,推动其成为金融稳定领域新的研究方向。本文从网络视角,主要基于银行机构(系统)间相互借贷连接形成的银行网络,模拟分析不同冲击在银行网络中的风险传染效应,以深入对金融系统性风险形成和传染机制的理解。主要研究工作和结论如下:1.系统性风险传染机制理论分析。信用冲击表现为银行机构对其债务违约致使债权银行资产受损,并可能产生连锁效应;市场流动性冲击通常表现为资产的削价销售并影响所有银行,产生网络外部性;融资流动性冲击的典型表现是银行间债务展期风险上升,单个银行面临融资流动性冲击采取的流动性贮藏行为可能导致银行间市场冻结,产生网络外部性。基于网络的传染模型分析表明,信用冲击传染效应呈现衰减特征,市场流动性冲击传染效应呈现放大特征,融资流动性冲击不具备衰减特征。次贷危机正是信用冲击、融资流动性冲击和市场流动性冲击交互作用引起了风险传染的结果。2.跨境银行网络风险传染分析。以BIS的跨境金融债权数据刻画跨境银行网络,发现近十年来跨境银行网络密度呈现出全球金融危机前显着上升,危机后适度下降的演变特征。美国和英国银行系统始终是网络中最重要的节点,土耳其、希腊等银行系统则处于跨境银行网络的外围。以基于资产负债表的网络分析法,从数据类型(IBB和URB)和冲击类型(信用冲击和信用冲击加流动性冲击)两个维度模拟并比较传染效应。模拟结果表明:(1)不同冲击条件下,美国和英国银行系统都最具系统重要性,法国和德国银行系统破产也能造成比较严重的影响。比利时和荷兰银行系统则最脆弱,这与其对外债权相对高并集中于少数国家从而抵御外部冲击能力弱有关。希腊和土耳其银行系统由于对外债权相对小,因此面对外部冲击的承受力和免疫力很强,美国银行系统面对外部冲击也很稳健。(2)在信用冲击加流动性冲击条件下,所有银行系统的脆弱性均上升,表明了流动性的重要性,法国、德国、西班牙银行系统的重要性上升显着,而且西班牙银行系统破产的传染效应出现了临界点现象。(3)模拟还发现了间接连接引发传染的现象,而且模拟结果似乎对次贷危机爆发有预警作用。3.中国银行网络风险传染分析。以中国银行间市场拆借数据刻画中国银行网络,发现大型商业银行、部分股份制银行和国开行处于银行网络的核心,中国银行是网络中最重要的节点,部分股份制银行、城商行、农商行、外资行则处于银行网络的外围。以基于资产负债表的网络分析法,模拟并比较不同结构、不同冲击类型下中国银行网络的风险传染效应。模拟结果表明:(1)总体上,中国银行间市场传染性风险很小。不同模拟均表明,中国银行是最具系统重要性的银行,其次是中国工商银行。资本水平的提升能有效增强银行抵御风险的能力。(2)相比单纯的信用冲击,加入流动性冲击时,传染效应会加重,传染门限值也会降低。当考虑双重冲击时,剩余银行(代表共同冲击)的系统重要性影响尤为显着,极端情况下,剩余银行仅靠流动性冲击就能引起其他银行倒闭,这是由于其他银行对剩余银行融资依赖严重的结果。剩余银行和中国银行还出现了传染效应的临界点现象。(3)银行间市场不同结构会影响风险传染。当市场从完全结构改变为不完全结构时,信用冲击引起的传染效应会加重,双重冲击会导致部分银行破产的传染门限值进一步降低,当银行间市场集中度很高时,不同类型冲击都能导致有传染效应的银行增加。4.网络视角下的宏观审慎监管。对比分析微观审慎监管和宏观审慎监管的基本特征。针对微观审慎监管的缺陷,从网络视角对全球金融危机后的宏观审慎监管改革进行分析和讨论,主要包括对金融机构的系统全面监管(将影子银行系统纳入监管范围)、对金融网络结构的调控、对大而不倒和太过关联而不倒问题的处置。本文的主要创新点如下:1.从新的视角研究金融风险传染问题;2.提出新的处理方法拓展了RAS算法的应用范围;3.构建了系统性风险指数度量跨境银行网络的系统性风险;4.实证网络模拟中发现了传染效应的临界点现象和流动性冲击重要的证据。

佟明祥[6]2016年在《浙江省妇保医院无线内外网实施改造方案》文中指出0引言浙江省妇保医院是浙江省妇产科医疗、教学、科研及计划生育、妇女保健工作的指导中心。由于医疗行业的特殊性,医护人员和病患者之间需要频繁地在院内移动检查,精细化、高质量的信息化管理要求能进行工作现场的信息化管理,处理的大量的实时信息,这些都要求网络传输具备可移动性、速率高等特点[1]。考虑到医院业务量应有足够的增长空间,网络应用也趋向于多样化,网络必须留出足够扩容空间,依靠单一的有线网络已不能完全满足医院

孟强[7]2016年在《基于云计算的移动互联网安全问题》文中提出云计算与移动互联网的相互融合,相互促进,使得移动互联网目前面临着巨大的安全威胁和挑战。本文简要概述了云计算和移动互联网的内涵、发展状况和特点,重点分析了云计算应用模式下移动互联网的安全问题,并提出了相应的对策建议,旨在为移动互联网的安全发展提供一些具有价值性的参考依据。

谢利苹[8]2009年在《青少年网络犯罪心理分析及其防范对策》文中指出一、青少年网络犯罪的心理因素分析青少年网络犯罪包括信息窃取和盗用、信息欺诈和勒索、信息攻击和破坏、信息污染和盗用等等。凡此种种,青少年网络犯罪有其内在的客观规律。归纳起来,青少年网络犯罪心理主要有以下特点:(一)膨胀的侥幸心理网络犯罪法规的不完善、难以查找和收集犯罪证据、网络技术本身存在缺陷、各种网络软件不完善、

刘仁文, 王海桥[9]2012年在《论我国信息网络版权违法犯罪》文中指出一、异军突起的信息网络版权违法犯罪随着信息技术的快速发展,我国正在进入信息网络时代。信息技术的突飞猛进,尤其是移动终端的广泛应用,使得版权的创造、管理和保护面临新的挑战,互联网盗版和假冒问题日益成为困扰互联网健康发展的重要问题。以手机移动互联网为例,据中国移动报告,有些市场效益良好的收费软件发布后立马

朱洪祥[10]2012年在《基于循证实践理念的罪犯个别化矫治教育逻辑范式重构》文中提出目前,我国监狱罪犯个别化矫治教育工作长期形成的为监狱群体所认同的秉持政治教育的思维、引用学校教育的模式、运用经验教育的方法、教育的实际效果取决于基层监区民警个体经验和能力的通用逻辑范式,这种认同感究其实质来讲,就是一种监狱个别化矫治教育的人文环境。在这种人文环境中,权力威信、个人崇拜、人格魅力、经验主义——施教者的个人因素成为决定罪犯个别化矫治教育效果的决定因素。而这种个人因素的不可复制性造成了个别化矫治教育工作水平的提升总是在执法刚性要求的提高中被动拉升,出现疲于应付、曲折多于上升的徘徊局面。近年来,从循证医学兴起,延伸到循

参考文献:

[1]. HEF防火墙实现模式的研究[D]. 张旭. 辽宁工程技术大学. 2002

[2]. 网络防火墙状态检测技术的研究与实现[D]. 方山. 暨南大学. 2003

[3]. 基于IXP425网络处理器的接入路由器[D]. 朱俊达. 浙江大学. 2006

[4]. 基于IXP425网络处理器的无线接入路由器[D]. 邢燚. 浙江大学. 2008

[5]. 银行网络视角下的系统性风险传染研究[D]. 陈兵. 复旦大学. 2013

[6]. 浙江省妇保医院无线内外网实施改造方案[J]. 佟明祥. 世界最新医学信息文摘. 2016

[7]. 基于云计算的移动互联网安全问题[J]. 孟强. 电子商务. 2016

[8]. 青少年网络犯罪心理分析及其防范对策[J]. 谢利苹. 犯罪与改造研究. 2009

[9]. 论我国信息网络版权违法犯罪[J]. 刘仁文, 王海桥. 犯罪与改造研究. 2012

[10]. 基于循证实践理念的罪犯个别化矫治教育逻辑范式重构[J]. 朱洪祥. 犯罪与改造研究. 2012

标签:;  ;  ;  ;  ;  ;  

HEF防火墙实现模式的研究
下载Doc文档

猜你喜欢